Adverteerders die via een social media platform adverteren zijn samen met het social media platform verantwoordelijk voor de verwerking van de persoonsgegevens die worden gebruikt voor de personalisatie van de advertentie. Dat stelt de European Data Protection Board (EDPB) in een recent uitgebrachte Richtlijn. In dit artikel lees je waarom EDPB dit zo ziet en wat dit betekent voor jou als marketeer.

De Algemene Verordening Gegevensbescherming (AVG)  kent twee soorten organisaties: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is een organisatie die het doel en middelen van de verwerking van persoonsgegevens bepaalt. Een verwerker is een organisatie die uitsluitend in opdracht van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. Twee (of meer) organisaties kunnen ook gezamenlijk verwerkingsverantwoordelijken zijn. Bij beide soorten organisaties horen verschillende soorten verplichtingen. Als een organisatie noch verwerkingsverantwoordelijke noch verwerker is, is de AVG niet van toepassing.

European Data Protection BoardMaar hoe liggen deze verhoudingen als een adverteerder door middel van gepersonaliseerde advertenties adverteert op een social media platform? Het social media platform bezit in de meeste gevallen de persoonsgegevens aan de hand waarvan advertenties worden gepersonaliseerd. Vervult de adverteerder dan nog een rol overeenkomstig de AVG en is dus de AVG van toepassing op de adverteerder? Hierover heeft de European Data Protection Board (EDPB) een richtlijn geschreven en gepubliceerd 13 april 2021.

De EDPB is een onafhankelijk orgaan van de Europese Unie dat bestaat uit alle voorzitters van alle nationale Europese privacytoezichthouders (waaronder dus ook de Nederlandse Autoriteit Persoonsgegevens). De EDPB heeft officieel geen wetgevende bevoegdheden, maar haar richtlijnen worden vaak als leidend beschouwd door Europese rechters over geschillen over de AVG.

Drie manieren voor verzamelen persoonsgegevensDe persoonsgegevens die worden gebruikt voor het personaliseren van advertenties op een social media platform worden op verschillende manieren verzameld. Dat gebeurt bijvoorbeeld wanneer de betrokkene deze gegevens zelf met het social media platform (of de adverteerder) deelt. Een betrokkene kan bijvoorbeeld zijn leeftijd en geslacht op zijn persoonlijke pagina delen.

Een andere mogelijkheid is dat persoonsgegevens door het platform onttrokken worden op het moment dat een betrokkene gebruik maakt van een dienst of product. Dit gebeurt bijvoorbeeld als content wordt ‘geliket’ op het social media platform zelf, maar kan ook plaatsvinden via websites van derden door middel van een cookie. Dergelijke informatie wordt in principe ook zelf door de betrokkene aan het social media platform of de adverteerder gegeven, maar in dit geval zal de betrokkene zich daar minder/niet bewust van zijn.

Een derde mogelijkheid is het afleiden van persoonsgegevens uit de door de betrokkene verstrekte informatie. Zo kan bijvoorbeeld uit de door de betrokkene bezochte internetpagina’s bepaalde interesses worden afgeleid.

Gedeelde verantwoordelijkheidVolgens de EDPB moet een adverteerder die op een social media platform adverteert worden gezien als gezamenlijk verwerkingsverantwoordelijke met betrekking tot het tonen van de advertentie samen met het social media platform. Het maakt hierbij niet uit of de adverteerder de advertenties personaliseert op basis van eigen verzamelde gegevens of helemaal geen persoonsgegevens inziet. Het is voor de verwerkingsverantwoordelijke namelijk niet noodzakelijk dat deze zelf inzage heeft in de verwerkte persoonsgegevens. Zowel de adverteerder als het social media platform stellen het doel vast (het tonen van gepersonaliseerde advertentie aan een beperkt publiek). Daarnaast hebben beide partijen invloed op de middelen die worden ingezet. De adverteerder bepaalt op basis van welke gegevens de advertentie moet worden gepersonaliseerd en het social media platform bepaalt de manier waarop de persoonsgegevens zijn/worden verzameld.

Dat beide partijen gezamenlijk verwerkingsverantwoordelijke zijn, betekent niet dat beide partijen in dezelfde mate verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dit wordt (mede) bepaald aan de hand van de mate van betrokkenheid aan de verschillende stadia van het proces. Zo zal een adverteerder in verhouding met het social media platform in mindere mate verantwoordelijk zijn voor de door het social media platform verzamelde persoonsgegevens op basis waarvan de advertenties worden gepersonaliseerd.

Gedeelde verplichtingenDat de adverteerder en het social media platform gezamenlijk verwerkingsverantwoordelijken zijn, heeft een aantal gevolgen.

De belangrijkste:

Adverteerder mede-verantwoordelijk voor verkrijgen toestemming. Naast het social media platform moet ook de adverteerder een grondslag hebben voor de verwerking van persoonsgegevens. Het is als adverteerder dus niet mogelijk om deze verantwoordelijkheid volledig bij het social media platform te leggen. Wanneer voor de personalisatie van advertenties slechts persoonsgegevens worden gebruikt die de betrokkene zelf aan het social media platform geeft (eerste variant van de drie hiervoor besproken varianten) kan vaak een beroep worden gedaan op een ‘gerechtvaardigd belang’ (oftewel: opt-out). Maar wanneer onttrokken (d.m.v. bijvoorbeeld cookies) of afgeleide persoonsgegevens (tweede en derde variant) worden gebruikt voor de personalisatie van een advertentie, is toestemming van de betrokkene (oftewel: opt-in) in principe de enige manier om dit te rechtvaardigen. De adverteerder is mede verantwoordelijk voor het verkrijgen van toestemming. Duidelijke taakverdeling afspreken met social media platform. Naast een rechtsgrond, dienen ook afspraken gemaakt te worden over de verdeling van verantwoordelijkheden in een overeenkomst. Hierbij moet bijvoorbeeld worden gedacht aan afspraken over welke partij verzoeken van betrokkenen afhandelt en wie de betrokkenen informeert over de verwerking van persoonsgegevens. Over het algemeen ligt het voor de hand om deze verantwoordelijkheden bij het social media platform te leggen, maar dit kan anders zijn als de adverteerder ook eigen verzamelde persoonsgegevens inbrengt om de advertenties te personaliseren. Deze afspraken dienen kenbaar te worden gemaakt aan de betrokkenen (d.m.v. een privacy statement). Indien het als adverteerder niet mogelijk is om met een social media platform te onderhandelen (‘take it or leave it’) over een dergelijke overeenkomst, is het goed om te beseffen dat hier risico’s aan verbonden zijn. Zoals de mogelijkheid dat de Autoriteit Persoonsgegevens de adverteerder in het geval van het ontbreken van een grondslag voor het tonen van een gepersonaliseerde advertentie hiervoor deels aansprakelijk houdt.

Wat moet je nu doen?Een aantal tips:

Onderzoek of je als adverteerder verantwoordelijk bent voor het verkrijgen van toestemming. Leg afspraken over wie verantwoordelijk is voor het afhandelen van verzoeken van betrokkenen vast in een overeenkomst met het social media platform. Communiceer over het adverteren via social media en de verdeling van rollen in je privacy statement.

Heb je vragen over dit onderwerp, neem dan contact op met de Werkgroep Privacy via [email protected].